Table of Contents
O grupo de hackers conhecido como MirrorFace, alinhado à China, foi recentemente identificado atacando uma organização diplomática na União Europeia. Este incidente marca a primeira vez que essa equipe de hackers dirige suas ações contra uma entidade localizada na região.
Durante este ataque, o grupo utilizou como isca a próxima Exposição Mundial, que ocorrerá em 2025, em Osaka, Japão. Segundo a ESET, a informação foi divulgada em seu Relatório de Atividade APT, referente ao período de abril a setembro de 2024.
Esse fato evidencia que, apesar da mudança geográfica nos alvos, o MirrorFace continua focado em eventos relacionados ao Japão e suas implicações.
O grupo, também conhecido como Earth Kasha, é parte de uma divisão maior chamada APT10, que inclui outras subdivisões identificadas como Earth Tengshe e Bronze Starlight. Esses hackers têm como alvo organizações japonesas desde 2019, e em 2023, sua campanha se expandiu para incluir alvos em Taiwan e Índia.
Com o passar dos anos, o arsenal de malware dessa equipe evoluiu. Backdoors como ANEL (também conhecido como UPPERCUT), LODEINFO e NOOPDOOR (ou HiddenFace), além de um ladrão de credenciais chamado MirrorStealer, demonstram a sofisticação das suas ferramentas.
A ESET informou ao The Hacker News que os ataques do MirrorFace são altamente direcionados, observando que a empresa normalmente detecta “menos de 10 ataques por ano”. O propósito principal dessas intrusões é a espionagem cibernética e o roubo de dados valiosos. Historicamente, organizações diplomáticas também foram atingidas por este ator das ameaças.
No ataque mais recente, uma vítima recebeu um e-mail de spear-phishing que continha um link para um arquivo ZIP armazenado no Microsoft OneDrive, intitulado “A Exposição EXPO no Japão em 2025.zip.
O conteúdo do arquivo ZIP incluía um atalho do Windows conhecido como “A Exposição EXPO no Japão em 2025.docx.lnk”, o qual, ao ser aberto, iniciava uma sequência de infecção que resultava no uso do ANEL e do NOOPDOOR.
A ESET observou que o ANEL havia desaparecido do cenário por volta do final de 2018 ou início de 2019, sendo acreditado que o LODEINFO o sucedeu em 2019. Portanto, é notável notar o retorno do ANEL após quase cinco anos de inatividade.
Esse acontecimento ocorre em um contexto onde grupos de hackers vinculados à China, como Flax Typhoon, Granite Typhoon e Webworm, têm reportado um crescente uso do SoftEther VPN, uma ferramenta de código aberto e multiplataforma, para manter o acesso às redes de suas vítimas.
Ademais, um relatório da Bloomberg indicou que o grupo ligado à China conhecido como Volt Typhoon invadiu a Singtel, uma importante empresa de telecomunicações em Cingapura, como parte de uma campanha mais abrangente visando organizações de telecomunicações e outras infraestruturas críticas. A intrusão cibernética se tornou pública em junho de 2024.
Provedores de telecomunicações nos EUA, incluindo AT&T, Verizon e Lumen Technologies, também foram alvos de outro coletivo adversário estatal, conhecido como Salt Typhoon (também identificado como FamousSparrow e GhostEmperor).
Recentemente, o The Wall Street Journal relatou que esses hackers utilizaram suas atividades para comprometer linhas de telefone celular usadas por altos oficiais de segurança nacional, políticos e formuladores de políticas nos EUA. Essa campanha também é acusada de ter infiltrado provedores de comunicação de outros países que estão em estreita colaboração com os EUA.
MirrorFace é um dos grupos de hackers alinhados à China mais ativos no cenário de ataques cibernéticos, e os métodos que eles utilizam para realizar espionagem cibernética são sofisticados e bem planejados. Neste artigo complementar, analisaremos algumas das técnicas e ferramentas que esses grupos empregam, com foco especial em como eles arquitetam suas operações de espionagem cibernética.
Os grupos de Amenças Persistentes Avançadas (APT), como o MirrorFace, têm se destacado no uso de spear-phishing como um dos seus principais métodos de ataque. Essa técnica envolve o envio de e-mails que imitam comunicações legítimas, atraindo suas vítimas para clicar em links maliciosos ou abrir anexos comprometidos. O recente ataque do MirrorFace à organização diplomática na União Europeia utilizou um e-mail disfarçado relacionado à Exposição Mundial 2025 em Osaka, Japão. Essa abordagem demonstra a importância da engenharia social em suas operações.
Métodos de Phishing e Engenharia Social
O uso de phishing é uma estratégia que visa criar uma falsa sensação de segurança nas vítimas. E-mails como o enviado pelo MirrorFace geralmente contêm iscas atrativas que, quando abertas, iniciam a infecção de sistemas. As empresas e organizações precisam estar cientes dos sinais de um ataque de phishing e treinar suas equipes para identificar mensagens fraudulentas.
Além disso, esses ataques podem ser altamente direcionados, focando em indivíduos específicos dentro de uma organização que possuem acesso a informações sensíveis. Isso aumenta a chance de sucesso do ataque, resultando em acesso a dados críticos.
Através da análise e compreensão do contexto de suas vítimas, os hackers conseguem aprimorar suas táticas de engenharia social, aumentando suas taxas de sucesso. É essencial que todos os níveis de uma organização estejam atentos a essas ameaças e adotem posturas mais robustas em relação à segurança cibernética.
Malware Personalizado e Persistência
Os grupos APT também são conhecidos por desenvolver uma variedade de malware personalizados, que lhes permite manter acesso persistente às redes das vítimas. O MirrorFace utiliza diferentes tipos de backdoors, como ANEL (ou UPPERCUT), LODEINFO, e NOOPDOOR (também conhecido como HiddenFace), junto com um ladrão de credenciais chamado MirrorStealer. Essas ferramentas são projetadas para evitar a detecção por softwares de segurança, permitindo que os atacantes permaneçam ativos dentro da rede por longos períodos.
O malware utilizado por esses grupos é muitas vezes atualizado para se adaptar às novas medidas de segurança implementadas por suas vítimas. Essa adaptação contínua torna o MirrorFace e outros grupos semelhantes, como Earth Kasha e Flax Typhoon, competidores formidáveis no cenário de espionagem cibernética.
As ferramentas de malware não só permitem o acesso inicial, mas também ajudam os hackers a escalar seus privilégios dentro da rede, podendo acessar sistemas e dados mais críticos. Isso eleva o nível de ameaça que esses grupos representam.
Utilização de VPNs e Ocultamento de Atividades
Outro método inovador é o uso de VPNs legítimas, como o SoftEther VPN. Ao utilizar essas ferramentas, os hackers conseguem integrar suas operações ao tráfego de rede normal, dificultando a detecção de suas atividades maliciosas. O uso de VPNs também lhes permite se dissociar de suas ações, fazendo com que seja mais complicado rastrear a origem do ataque.
Essa técnica revela a adaptabilidade dos grupos APT, que buscam continuamente novas maneiras de se manterem relevantes e não detectados. Essa habilidade em mesclar suas ações com atividades legítimas torna a vida dos especialistas em segurança cibernética ainda mais desafiadora.
Além disso, ao utilizar serviços cloud como o Microsoft OneDrive para hospedar arquivos maliciosos, o MirrorFace torna o ataque menos suspeito e mais aceitável em um ambiente de trabalho, tendo em vista que links enviados por e-mail estão associados a práticas normais e comuns.
Análise de Vulnerabilidades e Exploração
Os ataques realizados por hackers alinhados à China, como o MirrorFace, são frequentemente precedidos por uma análise cuidadosa das vulnerabilidades nas redes e sistemas da vítima. Essa análise pode envolver a identificação de vulnerabilidades zero-day, que são falhas de segurança ainda desconhecidas dos desenvolvedores de software, ou a exploração de exploits conhecidos que não foram corrigidos através de patches.
Uma vez que uma vulnerabilidade é identificada, os hackers podem criar um ponto de entrada que permite a eles instalar os backdoors necessários para seus ataques. O escopo e a profundidade dessa análise são essenciais para entender não apenas a arquitetura da rede da vítima, mas também como explorações podem ser adaptadas especificamente para os ambientes que estão atacando.
Essa prática sublinha a necessidade de empresas mapearem suas próprias vulnerabilidades e se manterem atualizadas com as últimas correções de segurança para minimizar os riscos de serem alvo de ataques cibernéticos.
Técnicas de Camuflagem e Operações Direcionadas
Apresentando uma colcha de retalhos de técnicas de camuflagem, os grupos APT se mantêm em constante movimento para evitar a detecção de suas atividades. Utilizando software legítimo e serviços conhecidos, como o OneDrive, eles são capazes de dificultar a identificação de suas ações como maliciosas.
As operações do MirrorFace e de outros grupos, como Webworm ou Salt Typhoon, são frequentemente altamente direcionadas e focadas em objetivos específicos, como a obtenção de informações sensíveis ou o acesso a infraestruturas críticas. Essa diferenciação é o que torna esses ataques especialmente perigosos para organizações que lidam com dados sensíveis, como instituições governamentais ou empresas de telecomunicações.
Grupos APT demonstram uma capacidade incrível de adaptar suas táticas com base em suas interações passadas com as vítimas, o que torna mais difícil para as equipes de resposta a incidentes recuperarem o controle e minimizarem os danos.
Impacto Geopolítico dos Ataques Cibernéticos da China
Os ataques cibernéticos atribuídos a grupos como o MirrorFace têm implicações significativas nas dinâmicas políticas e econômicas globais. A presença constante de hackers alinhados à China, que utilizam técnicas sofisticadas de espionagem cibernética, não apenas revela a vulnerabilidade das infraestruturas críticas, mas também modifica diretamente as relações entre as nações. Ao focar em alvos diplomáticos, como organizações na União Europeia, esses ataques intensificam as tensões que podem levar a um colapso na confiança mútua entre países.
O recente ataque ao grupo MirrorFace, que se aproveitou da Exposição Mundial 2025 como isca, sublinha a necessidade urgente de abordar questões de cibersegurança em um mundo cada vez mais digitalizado. Essa estratégia deliberada de atacar interesses significativos ou eventos de alto perfil demonstra uma intenção clara de desestabilizar ou, ao menos, de pressionar, entidades estrangeiras através do acesso à informação privilegiada e instável.
As ações de grupos como APT10, que inclui subdivisões como Earth Kasha e outras, são um lembrete constante de que o malware e os métodos de spear-phishing são ferramentas que podem ter consequências geopolíticas duradouras.
Repercussões nas Relações Internacionais
Em termos de relações internacionais, os ataques cibernéticos representam uma forma moderna de guerra eleitoral e de espionagem. Muitos países veem essas ações como uma violação de soberania, o que pode resultar em sanções ou maior isolamento diplomático para a China. Quando integrados em uma narrativa mais ampla de rivalidade, podem prejudicar seriamente a cooperação entre nações. Tais focos nas infraestruturas da União Europeia são particularmente problemáticos, pois os países estão cada vez mais conscientes da necessidade de se unir na defesa contra ameaças cibernéticas.
Além disso, a implicação de tecnologias como a SoftEther VPN por parte de hackers como Flax Typhoon e **Granite Typhoon** reforça a complexidade do cenário de segurança. Essas tecnologias avançadas são frequentemente vistas como um vetor para atacar redes críticas, evidenciando como a China tem empregado táticas que exacerbam as tensões geopolíticas.
Os incidentes de ciberespionagem não se limitam apenas à área diplomática, mas se estendem também ao setor corporativo. A coleta de informações confidenciais de empresas ocidentais é uma prática que pode influenciar não apenas as condições de competitividade, mas também as interações econômicas entre nações.
Segurança Nacional e Investimentos em Cibersegurança
A segurança nacional dos países afetados é uma das preocupações mais prementes em resposta a esses ataques. O comprometimento de sistemas de informação críticos pode resultar em perdas financeiras significativas, além de minar a confiança pública em instituições governamentais. Como consequência, a necessidade de investimento em cibersegurança se tornou um imperativo estratégico, levando muitas nações a reforçar suas defesas cibernéticas e revisar suas políticas de segurança interna.
O caso do grupo Volt Typhoon, que atingiu a Singtel, um principal fornecedor de telecomunicações em Cingapura, demonstra como esses ataques podem comprometer serviços essenciais e gerar ondas de impacto em outras nações. Pode-se concluir que a preocupação com a segurança cibernética permeia todos os níveis da governança em resposta a um ambiente de risco crescentemente complexo.
Políticas de investimento em infraestruturas de segurança cibernética foram, portanto, prioritárias para diversas nações, desencadeando não só medidas de proteção, mas também colaborações internacionais para desenvolver capacidades robustas contra ciberataques.
A Influência Sobre Aprovações Regulatórias
As ações de hackers têm repercussões não apenas nas relações internacionais, mas também nas aprovações regulatórias. Por exemplo, a crescente preocupação com a segurança de redes 5G levou a restrições ao envolvimento de empresas chinesas, como a Huawei, em projetos críticos. Essas ações refletem um sentimento de desconfiança em relação ao papel da China em setores tecnologicamente sensíveis, o que resulta em uma reavaliação das parcerias e colaborações existentes.
As iniciativas para criar uma Red Limpia nos EUA, excluindo empresas chinesas de contratos de infraestrutura, demonstram uma resposta a essas preocupações de segurança. O surgimento de regulamentações mais rigorosas visa evitar a interdependência que pode ser explorada por adversários como o MirrorFace.
Dessa maneira, a segurança cibernética está moldando proativamente a estratégia regulatória em setores como telecomunicações, com implicações diretas sobre investimentos e parcerias, o que, por sua vez, pode impactar negativamente o crescimento econômico global.
Competição Estratégica e Hegemonia Global
A cibersegurança emergiu como um campo central de competição estratégica entre potências globais. Os ataques cibernéticos se tornaram uma extensão da rivalidade geopolítica entre os EUA e a China. Ao controlar o ciberespaço, cada país busca afirmar sua influência e hegemonia. Essa disputa não trata apenas de espionagem, mas da capacidade de moldar as normas e padrões globais em um mercado cada vez mais interconectado.
Aproximando-se do ambiente virtual, a rivalidade se intensifica com a introdução de novas tecnologias. O potencial de desestabilizar a ordem global por meio de ciberataques traz à tona preocupações sobre escaladas inesperadas de conflito, especialmente em regiões de alta tensão, como o Pacífico, onde a China está geograficamente próxima de seus principais rivais.
Com a ascensão de grupos como Salt Typhoon, que se associam a atividades adversárias, torna-se evidente que a competição em cibersegurança também é vista como essencial para a segurança nacional de várias nações. Os desafios enfrentados não são meramente técnicos; eles exigem uma resposta coletiva e coordenada para garantir a estabilidade e segurança nas interações internacionais.
Impacto Econômico Dos Ciberataques
Os ciberataques não afetam somente as relações políticas, mas também têm repercussões econômicas profundas. A dependência de tecnologias de informação avançadas, muitas vezes oriundas de iniciativas como Made in China 2025, levanta preocupações sobre a vulnerabilidade e segurança dos investimentos internacionais.
As restrições ao investimento e à transferência de tecnologia entre os EUA e a China, exacerbadas por hackers como o MirrorFace, podem produzir um efeito dominó que afete negativamente setores integrais da economia global. O aumento de custos para mitigar riscos e assegurar a integridade cibernética cria barreiras ao comércio e cooperação.
As economias locais podem sentir os efeitos disso na forma de perda de competitividade e oportunidades de crescimento, particularmente em setores expostos ao ciberespaço, resultando em um ambiente econômico global incerto e desafiador.
Riscos de Conflitos Regionais e Globais
A atividade cibernética de grupos alinhados à China aumenta o potencial de conflito, uma vez que operações de ciberespionagem e sabotagem podem ser utilizadas para perseguir objetivos militares e políticos. Este fator acende as preocupações sobre uma escalada de tensões, especialmente em áreas como o Pacífico, que já são instáveis devido a disputas territoriais em áreas críticas.
A escalada de tensões poderia resultar em um espiral de ações e retaliações que ameaçariam não apenas a segurança regional, mas também a ordem global. A capacidade de uma nação realizar ataques cibernéticos para alcançar objetivos estratégicos redefine as normas de envolvimento militar, tornando a espionagem cibernética uma ferramenta de escolha em um arsenal de opções.
A ilustração dessas dinâmicas se reflete nas ações de grupos como Webworm e outros coletivos de hackers que estão em constante evolução e adaptação, o que indica uma nova era de conflito onde as fronteiras entre guerra e paz se tornam cada vez mais nebulosas.
Este cenário exige uma resposta robusta e coordenada por parte das nações que são susceptíveis a essas ameaças. Compreender as complexidades das interações geopolíticas geradas por ataques cibernéticos se tornou crucial para preservar a estabilidade global.
“Os ciberataques de grupos como o MirrorFace não são apenas incidentes isolados; são catalisadores de uma nova era de competição geopolítica e econômica.”
Conheça mais
- Ameaças Cibernéticas da China: Gráficos Reveladores
- Uma Análise Abrangente das Ameaças Cibernéticas
- Cibersegurança Entre Estados Unidos e China: Conflito e Derivados
- Geopolítica e Ciberespionagem: Uma Radiografia Atual
- Cibersegurança na Era da Policrise
#MirrorFace #Hackers #CyberAttacks #CyberEspionage #WorldExpo2025 #EuropeanUnion #APT10 #Malware #Security #Tech #alegon #cryptoalch